インターネットバンキング仕様における WEB アプリケーション・セキュリティの解釈
WEB アプリケーションのセキュリティは、オンライン・バンキング・システムの情報セキュリティに関する一般仕様の焦点であり、次の 3 つの主要要件があります:
機密情報の漏洩防止
不正アクセスを防止するため、オンライン・バンキング・システムのウェブ・サーバーに厳密なディレクトリ・アクセス権を設定する必要があります。
オンラインバンキングサイトからの重要なデータの不正ダウンロードを防ぐため、ディレクトリ一覧の閲覧を無効にします。
クライアント側のスクリプトのみでクライアント入力の正当性判定やパラメータ文字フィルタリングを行うことは禁止されています。
クロスサイトスクリプティング攻撃の防止
TopWAFがインターネットバンキング・システムのコンプライアンスを完全サポート
XX銀行がオンライン・バンキング・システムを立ち上げて以来、ネットワーク層でのアクセス制御の分離を行うために、主に二重層の異種ファイアウォールに依存しています。次に、侵入検知装置もDMZゾーンへの侵入や攻撃を検知するために導入されていますが、セッション層と表現層における特定の不正侵入に限定されています。アプリケーション層への侵入・検知に関しては、リアルタイムでの検知・遮断は不可能です。
TopWAF導入ソリューション
TopWAFの導入後、XX銀行はインターネットバンキングシステムのWEBアプリケーションに変更を加えることなく、規制当局によるセキュリティコンプライアンス検査に合格しました。また、このソリューションの導入は、商業銀行のインターネットバンキング・システムのセキュリティ構築とコンプライアンスに対する優れたモデル実証となりました。
